Прочитал тему с лейблом "Важно", но не нашёл ответа.
Я делаю авторизацию на своём сайте:
Авторизировался, получил айди и сгенерированный хэш, записал их в куки, каждая страница проверяет куки с БД, если да, то пускает дальше.
Сессии для меня не подходят, так как они какие-то небезопасные.
Правильно ли это - каждый раз при переходе по страницам стучаться в базу, чтобы проверить подлинность куки?
Сильно ли это нагружает сервер?
Спасибо
Спустя 5 минут, 48 секунд (4.08.2011 - 15:07) bel0m0r написал(а):
Что именно вас не устраивает в безопасности сессий? И к тому же не вижу необходимости проверки cookie при каждой загрузке страницы. По моему достаточно одного раза при авторизации. Правильнее сделать какой нибудь солёный двойной хеш код для записи в cookie, его будет гораздо труднее подделать)
Спустя 8 минут, 42 секунды (4.08.2011 - 15:16) volodyatoxic написал(а):
| Цитата |
| не вижу необходимости проверки cookie при каждой загрузке страницы |
Ну вот например удалил я пользователя из базы или забанил, а он благополучно гуляет дальше по страницам. Хотя содержимое сайта должно быть доступно только пользователям которые авторизованы и без бана.
Спустя 24 минуты, 41 секунда (4.08.2011 - 15:40) linker написал(а):
volodyatoxic
А как это связано с сессиями? Тоже самое можно сказать и про куки, поставил себе куку ручками и ходи сколько влезет. Проблема не в сессиях или куках, проблема как ты это реализуешь сам.
А как это связано с сессиями? Тоже самое можно сказать и про куки, поставил себе куку ручками и ходи сколько влезет. Проблема не в сессиях или куках, проблема как ты это реализуешь сам.
Спустя 11 минут, 49 секунд (4.08.2011 - 15:52) Renden написал(а):
volodyatoxic
По моему мнению сессии даже безопаснее чем куки, тк куки всеж хранятся на стророне клиента, а сессия хранится на сервере.
Я авторизацию делаю исключительно на сессиях, куки использую только как вариант для сохраниения инфы.
По моему мнению сессии даже безопаснее чем куки, тк куки всеж хранятся на стророне клиента, а сессия хранится на сервере.
Я авторизацию делаю исключительно на сессиях, куки использую только как вариант для сохраниения инфы.
Спустя 2 часа, 4 минуты, 57 секунд (4.08.2011 - 17:57) volodyatoxic написал(а):
Renden
Ну так получается можно при загрузке каждой страницы обращаться в базу, чтобы сверить данные о пользователе и ничего страшного?
Как же тогда реализуют на форумах систему банов? Полюбому же система должна перед открытием страницы проверять забанен пользователь или нет, чтобы либо показать страницу, либо вывести сообщение об ошибке? Или это как-то по другому делается?
Ну так получается можно при загрузке каждой страницы обращаться в базу, чтобы сверить данные о пользователе и ничего страшного?
Как же тогда реализуют на форумах систему банов? Полюбому же система должна перед открытием страницы проверять забанен пользователь или нет, чтобы либо показать страницу, либо вывести сообщение об ошибке? Или это как-то по другому делается?
Спустя 41 минута, 37 секунд (4.08.2011 - 18:39) killer8080 написал(а):
| Цитата (Renden @ 4.08.2011 - 15:52) |
| По моему мнению сессии даже безопаснее чем куки |
А что сессии без кук работают
нет, ну конечно могут через url, но это самый плохой вариант 
А уже как организован механизм: через стандартные сессии, или самописные на БД, это уже другой вопрос. Главное чтоб из кук нельзя было извлечь инфомацию о логине и пароле!| Цитата (volodyatoxic @ 4.08.2011 - 17:57) |
| Как же тогда реализуют на форумах систему банов? Полюбому же система должна перед открытием страницы проверять забанен пользователь или нет, чтобы либо показать страницу, либо вывести сообщение об ошибке? |
Именно так, нужно обращение к базе, админ не имеет прямого доступа к файлам сессий, хотя конечно можно извратиться, этот вопрос как то уже поднимался
но это не правильно. Спустя 1 день, 22 часа, 53 секунды (6.08.2011 - 16:40) HAKIM написал(а):
хд, куки бесопастней сессий 
как раз наоборот!!
Куки можно подделать , а в сессии хранитсяч ТО! что сам туда записал, а вот что записывать уж надо тщательней проверять
как раз наоборот!!
Куки можно подделать , а в сессии хранитсяч ТО! что сам туда записал, а вот что записывать уж надо тщательней проверять
Спустя 5 минут, 28 секунд (6.08.2011 - 16:45) HAKIM написал(а):
это же пхп, тут страница обработалась и всё!
Так что в базу надо лазить с проверкой на каждой странице, где именно должно проверьться на авторизованность.
Киллер, с чего это сессии без кук не работают?(или я тебя не так понял)
Так что в базу надо лазить с проверкой на каждой странице, где именно должно проверьться на авторизованность.
Киллер, с чего это сессии без кук не работают?(или я тебя не так понял)
Спустя 1 час, 56 минут, 31 секунда (6.08.2011 - 18:42) killer8080 написал(а):
| Цитата (HAKIM @ 6.08.2011 - 16:45) |
| Киллер, с чего это сессии без кук не работают?(или я тебя не так понял) |
а как по твоему они вообще работают? Как браузер передаёт id сессии?
Спустя 47 минут, 36 секунд (6.08.2011 - 19:29) HAKIM написал(а):
Скажу так, я не верно выразился 
Я имел ввиду непосредственное вмешательство в куки
Я имел ввиду непосредственное вмешательство в куки